Ransomware-Angriffe nehmen zu, und diejenigen mit der höchsten Auswirkung übernehmen das gesamte Active Directory. Wir müssen dieses Systeme sichern, um das Risiko, dass unsere Daten verschlüsselt und im Internet zum Verkauf angeboten werden, zu minimieren!
Was, wenn eine deiner Mitarbeiterinnen oder Mitarbeiter auf den falschen E-Mail-Anhang klickt? Wirst du in der Lage sein, den Angriff zu stoppen, oder werden die Angreifer von dort aus weiter im Netzwerk bewegen und alle deine Systeme übernehmen können? Deshalb solltest du einen Penetrationstest der internen Infrastruktur durchführen. Das interne System ist nur einen falschen Klick davon entfernt, „öffentlich“ zu sein.
Kerberos funktioniert ähnlich wie ein Reisepass: Eine Passbehörde stellt den Pass aus, nachdem sich die Person identifiziert hat. Mit diesem Pass kann man dann zur Grenze gehen und sich dort ausweisen.
In diesem Blogpost werde ich kurz auf 2 oft übersehene Schwachstellen und Fehlkonfigurationen im Active Directory Tiering Modell eingehen. Konkret werde ich auf die Fehlbehandlung von Terminalserver und Helpdesk Usergruppe eingehen.
BloodHound ist ein Tool, das von Pentestern und Red Teamern entwickelt wurde, um Angriffswege im Active Directory besser zu finden und zu visualisieren. Das heißt aber nicht, dass es nicht auch von Admins oder dem Blue Team sinnvoll verwendet werden kann.
Eine gute Passwortrichtlinie für das Active Directory festzulegen, ist leider schwierig. Dies liegt auch daran, dass es mehrere Best Practices gibt, die sich teilweise widersprechen. In diesem Beitrag werde ich versuchen, auf die verschiedenen Best Practices einzugehen und meine eigene Empfehlung abzugeben.
Kernaussagen: NIST empfiehlt mindestens 8 Zeichen, keine Komplexitätsregeln und keine erzwungene Rotation; Microsofts AD-Empfehlung weicht davon ab. VidraSec-Empfehlung: Minimum 10 Zeichen, Komplexität aus, maximale Passwortalter auf „Unbegrenzt“, Passworthistorie aus; zusätzlich Blockliste schwacher Passwörter und wo möglich MFA (z. B. Windows Hello for Business).
Dies ist der erste Teil einer Serie zu unsicheren Standardeinstellungen in Active Directory. Dieser Teil behandelt die Pre-Windows 2000 Compatible Access-Gruppe. Was ist das? Welche Risiken gibt es? Und was kannst du dagegen tun?